Komisja Parlamentu Europejskiego ds. wolności obywatelskich, sprawiedliwości i spraw wewnętrznych (LIBE) 12 października zajmie się przepisami o poszanowaniu życia prywatnego i ochronie danych osobowych w łączności elektronicznej (ePrivacy). UE planuje, że wejdą w życie 25 maja 2018 r. Tymczasem Związek Przedsiębiorców i Pracodawców wzywa rząd RP do przeciwstawienia się nadmiernej regulacji sektora cyfrowego, ograniczenia nieefektywnych i krępujących innowacyjność przepisów oraz odłożenia tego nieżyciowego projektu na półkę.

Wątpliwości biznesu

Wątpliwości ZPP budzi m.in. objęcie przepisami danych nieosobowych i powiązanych z osobami prawnymi, a także komunikacji między komputerami bez udziału człowieka (tzw. M2M). Organizacja wskazuje też, że rząd nie odnosi się do przedstawiania metadanych na potrzeby usług dodatkowych, np. big data. I zwraca uwagę na niespójność projektowanych rozwiązań z generalnym rozporządzeniem o ochronie danych osobowych, które zacznie działać od maja przyszłego roku, czyli RODO.

ZPP docenia natomiast, że w stanowisku do projektu rząd dostrzegł nieżyciowość obowiązku ponawiania zgody na przetwarzanie co sześć miesięcy, a także potrzebę większej elastyczności jej wyrażania oraz uznanie świadczenia usługi za samodzielną podstawę przetwarzania danych.

– Opinia razi jednostronnością i niezrozumieniem nowoczesnych zasad ochrony prywatności – wskazuje dr Paweł Litwiński z Instytutu Allerhanda. – Przykładem jest negowanie zasady privacy by default (prywatność z założenia) czy twierdzenie, że mamy jakieś „darmowe" usługi, na które projekt wpłynie negatywnie. Nie ma darmowych usług, zapłatą jest nasza prywatność.

Zdaniem dr. Litwińskiego projekt raczej porządkuje, niż rewolucjonizuje przepisy, co jest ważne zarówno dla prawników, jak i Polski jako kraju. – Istotne jest rozszerzenie kompetencji organu nadzorczego zajmującego się ochroną danych osobowych na kwestie wykonywania rozporządzenia e-privacy. Jego brak jest ogromnym problemem w egzekwowaniu postanowień chroniących prywatność – dodaje.

– Kierunek zmian jest słuszny, trzeba bowiem wprowadzić ochronę poufności także danych nieosobowych – mówi prezes Fundacji Panoptykon Katarzyna Szymielewicz.

Bez szpiegowania

Zdaniem Szymielewicz najważniejsza zmiana będzie dotyczyć korzystania z danych w celach reklamowych przez podmioty, których nie łączy z użytkownikiem żadna relacja.

– Firmy prowadzące uczciwą i transparentną komunikację z klientem nie będą miały problemu z dostosowaniem się do zmian – dodaje.

Panoptykon wskazuje jednak kilka wad rozwiązań. Przede wszystkim propozycje Komisji Rynku Wewnętrznego i Ochrony Konsumentów (IMCO), aby ochrona poufności dotyczyła tylko danych przesyłanych, ale już nie przechowywanych. Także metadane po zakończeniu przesyłu będzie można przetwarzać bez zgody. Dostawcy usług internetowych mogliby też przetwarzać dane, kiedy nie są już im potrzebne, jeśli poddadzą je tzw. pseudonimizacji. Panoptykon zwraca uwagę, że proces ten można zawsze odwrócić, a zbędne dane powinny być usuwane. W projekcie nie zapisano także obowiązku skonfigurowania domyślnych ustawień tak, żeby jak najlepiej chroniły prywatność, co jest sprzeczne z zasadą privacy by default. Panoptykon zachęca, by apelować do komisji LIBE o zmianę tych zapisów.

Zdaniem dr. Litwińskiego i tak najważniejsze będą przepisy wprowadzające obowiązek zachowania poufności komunikacji elektronicznej, utrzymujące obowiązek uzyskiwania zgody na dostęp do informacji przechowywanych w urządzeniach końcowych, w tym cookies, oraz konieczność stosowania zasady privacy by default przy instalacji oprogramowania. To ważna zmiana. Oznacza, że nowo ściągane programy będą musiały mieć domyślne ustawienia jak najbardziej chroniące prywatność. Użytkownik będzie mógł je zmienić, jeśli zechce przekazać dane usługodawcy.

Liczne uwagi do projektów ustaw

- Gdy w Unii trwają prace nad rozporządzeniem o e-prywatności, w Polsce konsultowane są przepisy dostosowujące nasze regulacje do ogólnego rozporządzenia o ochronie danych osobowych (RODO). Projektowane akty zmieniają ponad 130 innych ustaw resortowych o ochronie danych osobowych.

- Od rozpoczęcia konsultacji do Ministerstwa Cyfryzacji wpłynęło już ok. 100–150 uwag. Wiele dotyczy zniesienia dwuinstancyjności postępowań związanych z naruszeniem ochrony danych. Ma to przyspieszyć te postępowania, podobnie jak ograniczenie czasu postępowań kontrolnych do 30 dni.

- Kontrowersje budzi też zmiana pozycji urzędu nadzorczego (obecnie to generalny inspektor ochrony danych osobowych, zastąpi go prezes nowego Urzędu Ochrony Danych Osobowych).Konsultacje potrwają do 13 października.